Gunakan pernyataan yang sudah disiapkan alih-alih mencampur pernyataan dan data muatan yang sebenarnya.
lihat
- http://dev.mysql.com/ tech-resources/articles/4.1/prepared-statements.html
- PDO::prepare
- mysqli::prepare
Anda mungkin juga tertarik dengan http://shiflett.org/articles/sql-injection dan http://shiflett.org/blog/2007/sep/ injeksi-sql-tak terduga
